收藏本站 收藏本站
积木网首页 - 软件测试 - 常用手册 - 站长工具 - 技术社区
积木学院 > 黑客技术 > 菜鸟入门 > 正文

【黑基原创】 上传也可以这样玩

来源:互联摘选 日期:2005-07-22 17:19

【黑基原创】 上传也可以这样玩

作者:一道江河  来源:原创精华区

哈哈今天生日 给自己来点高兴的撒..

昨天晚上无聊 就在网上乱看了下.....一回Q上有人发来个站点....

注入后得到管理员密码跟帐号了..就是找不到登陆口.....

哈哈 所以就帮忙找了下....用明小子的domain扫了下出来的是

http://www.*****.com/admin/admin.php

PHP的.反问下.

.CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:

汗......后来去站上看了下 页面是asp的..后台是PHP?

哈哈 聪明的你自然就想到了把上面admin.php  改为 admin.asp

反问看看吧.

http://www.****.com/admin/admin_login.asp

西西  系统自动跳转了..成功..输入 刚才别人给的 帐号跟密码 顺利进去了...

现在当然是要得到webshell了 

后台唯一可以利用的就是一个上传图片了..试试吧..随便选了个asp马的

传下.......失败 郁闷...cer. 成功..可找不到路径..汗..估计找到了也是提示下载的

先放放.....试了下抓包 用老兵的工具上传  又失败 郁闷....

恰好凡凡 上来了..哈哈..跟他讨论了下.....又不行...汗 汗..

本来想 out  了。..想起还有种方法没有测试...在上传 asp马儿时在 后面加个 点

看看..说不定能成功滴..因为系统回自动吃掉那个点的..哈哈...

马上去测试了下...上传 成功..哈哈..变成了asp.asp.  不过没关系..咱们还是可以

反问的 ..因为系统自动吃了那个点....反问

http://www.****.com/html/inages/asp.asp

无法找到页面..............郁闷。..汗..怎么回事.....

汗....叫凡凡 看了下....嘎嘎..在后台图片的目录里找到了..

原来图片的地址变成了 http;//www.***.com/images/asp.asp

那个html 是虚的...哈哈..现在能访问了哈哈..就可以传大马了喽....

后来试了下 刚才 传的cer的那个..可以访问  哈哈.....又一个后门了..

用砍客的那个 浏览了下..里面竟然有。.......NNNN多的站...狂汗....而且权限也有

郁闷。...真不知道管理员干嘛的....

不搞破坏了..后来就走人了哈...

这也是一种上传的方法 。.也可以 把 点该成斜杠  用NC 提交..西西

本文 很菜老鸟就不必看了....西西..

推荐阅读

 

热点信息

 
强悍的草根IT技术社区,这里应该有您想要的!
Copyright © 2010 Gimoo.Net. All Rights Rreserved  京ICP备05050695号